·my123.com病毒查殺工具
·哇哇資訊 專殺工具 V1.0
·熊貓燒香/千橡/威金專殺工具集合
·手工查殺3448病毒方法
·IIS出現(xiàn)錯(cuò)誤后修復(fù)工具
·求助流程、如何發(fā)日志、分析及輔助工具!

由于上述軟件都是安全論壇的東西,切必須注冊(cè)所有提供了最近的病毒軟件合集
下載

經(jīng)測(cè)試發(fā)現(xiàn)上述軟件并不能用啊下載這個(gè)最新的
這個(gè)幽默又具有破壞力的病毒恐怕最近中招的不少,來(lái)看看這篇技術(shù)分析:
一、熊貓燒香有幾個(gè)變種？
到目前為止,從大體上分,目前主要有四大變種,變種A我們已經(jīng)分析,見本版,變種B的就是大家常說(shuō)的spoclsv.exe進(jìn)程,它藏的全路徑是:% SystemRoot%/Driversspoclsv.exe,其它部分與變種A基本一致.

變種C主要的改動(dòng)是對(duì)抗殺毒軟件，尤其是超級(jí)巡警的專殺，該專殺舊版本被360安全衛(wèi)士?jī)?nèi)置到工具列表中。變種C通過(guò)查找窗口標(biāo)題有超級(jí)巡警字樣，即關(guān)閉該窗口，即使在桌面新建一個(gè)名為超級(jí)巡警的文本文件，用記事本打開也會(huì)被關(guān)閉。因此許多網(wǎng)友下載了舊版的專殺，抱怨打開就被關(guān)閉。

同時(shí)熊貓燒香病毒還會(huì)關(guān)閉其它一些常見的進(jìn)程管理的，比如常用的Windows任務(wù)管理器。對(duì)付這種變種的方法就是使用一個(gè)不被關(guān)閉的進(jìn)程管理的，推薦使用X-PS，下載地址和使用說(shuō)明：http://www.unnoo.com/html/research/2006/0718/29.html，關(guān)閉掉名為spoclsv.exe的進(jìn)程。然后在使用巡警的專殺，當(dāng)然也可以下載最新的超級(jí)巡警使用里面的專殺來(lái)查殺。
變種D是最近才出現(xiàn)的一個(gè)變種，該變種感染文件后圖標(biāo)不在是熊貓模樣，當(dāng)感染該變種會(huì)在臨時(shí)目錄發(fā)現(xiàn)100個(gè)圖標(biāo)文件。還有其它一些變種，基本都是為了躲避查殺進(jìn)行修改和下載不同的后門的版本。

二、對(duì)系統(tǒng)的破壞：

熊貓燒香在感染的系統(tǒng)上，會(huì)關(guān)閉殺毒軟件進(jìn)程，刪除殺毒軟件的注冊(cè)表項(xiàng)目，禁用殺毒軟件的服務(wù)，修改資源管理器不顯示隱藏文件等。

還會(huì)調(diào)用如下命令來(lái)刪除共享：
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....

舊變種會(huì)全面感染系統(tǒng)文件，新變種會(huì)感染除系統(tǒng)目錄外的文件，即盡量不感染微軟操作系統(tǒng)自身的文件。

新舊變種都會(huì)刪除.gho，一般人會(huì)在安裝完成系統(tǒng)后，使用Norton Ghost進(jìn)行備份，熊貓會(huì)惡意刪除這個(gè)備份文件。

其中一個(gè)變種還會(huì)在感染目錄生成desktop_.ini。

最大的破壞是，熊貓燒香本身就是一種下載者，會(huì)在指定的網(wǎng)站下載后門、木馬、各種盜號(hào)程序，甚至DDoS程序。

三、為什么無(wú)法清除干凈，如何徹底查殺：

有人使用了超級(jí)巡警和巡警之熊貓專殺后，將一個(gè)機(jī)子殺干凈了，但不久又發(fā)現(xiàn)感染了，這是因?yàn)?，熊貓燒香在感染了一個(gè)系統(tǒng)后，開啟一個(gè)單獨(dú)的線程進(jìn)行C類網(wǎng)絡(luò)掃描感染，訪問(wèn)同網(wǎng)段的139/445端口，進(jìn)行IPC$密碼猜解和查找共享，并感染共享中的文件。這樣只要網(wǎng)絡(luò)內(nèi)有一個(gè)機(jī)子還有存活的熊貓燒香病毒，就依然存在再次感染全網(wǎng)的可能。

許多朋友網(wǎng)絡(luò)內(nèi)都是有文件共享服務(wù)器，電影服務(wù)器，而許多網(wǎng)友的網(wǎng)絡(luò)內(nèi)的人都為了方便系統(tǒng)登錄口令都是空口令，或者是123這樣的簡(jiǎn)單口令。

局域網(wǎng)中有個(gè)IE沒(méi)有打病毒，瀏覽掛了熊貓燒香病毒的網(wǎng)站，并不知情。

查殺的辦法是：

1、斷開網(wǎng)絡(luò)，使用超級(jí)巡警之熊貓燒香專殺，每個(gè)機(jī)子全面殺毒。
2、修改口令，取消本地共享目錄。
3、查殺完成后使用超級(jí)巡警的補(bǔ)丁檢查檢查系統(tǒng)沒(méi)有打的補(bǔ)丁，及時(shí)打上補(bǔ)丁，尤其是IE補(bǔ)丁。